最新!Chrome釋出擴充套件程式五大新變化
十年間,Chrome網上應用店有超過180,000個擴充套件程式,近一半的Chrome桌面使用者會主動使用擴充套件程式來自定義Chrome及其在網路上的體驗。而Chrome擴充套件團隊的雙重使命是幫助使用者根據個人需求和興趣定製Chrome的功能,並使開發人員能夠構建豐富且有用的擴充套件。
Chrome最近採取了一系列措施來改進擴充套件安全性:包括啟動 out-of-process iframes,刪除內聯安裝以及顯著提升了使用機器學習檢測和阻止惡意擴充套件的能力。Chrome認為,未來需要進行更多根本性更改,讓預設情況下的所有Chrome擴充套件程式都值得信賴。
10月1日,Chrome在部落格上宣佈了一些即將到來的變化和未來的計劃:
使用者控制主機許可權
雖然主機許可權已經啟用了數千個功能強大且具有創造性的擴充套件用例,但它們也導致了廣泛的濫用(無論是惡意還是無意),是由於它們允許擴充套件程式自動讀取和更改網站上的資料。Chrome的目標是提高使用者透明度並控制擴充套件何時能夠訪問網站資料。
對擴充套件程式稽核流程的更改
未來,請求強大許可權的擴充套件程式將受到額外的合規性稽核。Chrome還密切關注使用遠端託管程式碼的擴充套件,並持續監控。使用者擴充套件程式的許可權應儘可能地縮小範圍,並且所有程式碼都應直接包含在擴充套件程式包中,以最大限度地縮短審閱時間。
新程式碼的可讀性要求
從10月1日開始,Chrome網上應用店就不再允許使用模糊程式碼進行擴充套件(這包括擴充套件包中的程式碼以及從Web獲取的任何外部程式碼或資源)。此政策立即適用於所有新的擴充套件提交。具有模糊程式碼的現有擴充套件程式可以在接下來的90天內繼續提交更新,但如果不符合要求,將在2019年1月初從Chrome網上應用店中刪除。
10月1日,Chrome從網上應用店阻止了超過70%的惡意和政策違規擴充套件程式包含模糊程式碼。同時,由於混淆主要用於隱藏程式碼功能,因此給Chrome的稽核過程增加了很多複雜性。鑑於上述稽核流程的變化,Chrome表示已不再可接受。
此外,由於JavaScript程式碼始終在使用者的計算機上本地執行,因此混淆技術不足以保護專有程式碼免受真正有動機的逆向工程師的影響。混淆技術還帶來了巨大的效能成本,例如執行速度較慢以及檔案和記憶體佔用量增加。
另一方面,普通的縮小通常可以加速程式碼執行,因為被縮小的程式碼更容易檢視。因此,仍然允許縮小,包括以下技術:
- 刪除空格,換行符,程式碼註釋和塊分隔符;
- 縮短變數和函式名稱;
- 摺疊JavaScript檔案的數量。
必需的兩步驗證
2019年,Chrome網上應用店的開發者帳戶將需要註冊兩步驗證。如果使用者的擴充套件程式變得流行,兩步驗證可以吸引想要竊取賬戶的攻擊者,並且它通過要求從使用者的手機或物理安全金鑰進行第二次身份驗證步驟來增加額外的安全層。
Chrome建議,為了更強大的帳戶安全性,請考慮高階保護計劃。高階保護提供了Google為其員工所依賴的相同級別的安全性,需要物理安全金鑰才能最有效地防範網路釣魚攻擊。
未來: Manifest v3
在2019年,Chrome將介紹下一個擴充套件清單版本。Manifest v3將需要額外的平臺更改,旨在建立更強大的安全性、隱私和效能保證。Chrome希望幫助所有開發人員成功——在Manifest v3中編寫一個安全且高效能的擴充套件應該很容易,而編寫一個不安全或不可執行的擴充套件應該很困難。
Manifest v3的一些關鍵目標包括:
- 更狹隘和宣告性的API,以減少對過度廣泛訪問的需求,並使瀏覽器實現更高效能的實現,同時保留重要功能;
- 使用者可以使用其他更簡單的機制來控制授予擴充套件的許可權;
- 現代化以與新的Web功能保持一致,例如支援Service Workers作為一種新的後臺程式。
Chrome表示,這些變更可能需要付出努力。但Chrome相信,對於所有使用者、開發人員以及Chrome擴充套件生態系統的長期健康狀況,集體結果將是值得的。
參考來源:
- blog.chromium
書籍推薦:
《加密與解密》
是一本逆向必讀書籍。本書以軟體逆向為切入點,講述了軟體安全領域相關的基礎知識和技能,可以說是安全人士必讀書籍之一了。
看雪推薦“解密”前的過渡書籍:
基普·歐文的《組合語言:基於x86處理器》
王爽的《組合語言》
Charles Petzold著的《Windows程式設計》(以VC來講解)
長按識別二維碼,即可購買以上書籍
、
更多閱讀:
2、最後通知:Chrome 70 將不信任Symantec PKI頒發的所有證照
4、祖克伯 Facebook賬號又要被黑?臺灣天才駭客張啟元欲直播刪號過程
相關文章
- chrome擴充套件程式開發Chrome套件
- ?用Chrome擴充套件管理器, 管理你的擴充套件Chrome套件
- Google官方釋出Chrome擴充套件Password Checkup 檢查密碼是否安全GoChrome套件密碼
- Edge要相容 Chrome 擴充套件Chrome套件
- Apollo 釋出 GraphQL 平臺和 VS 程式碼擴充套件套件
- Chrome 擴充套件程開發初探Chrome套件
- Chrome DevTools Inspector 擴充套件實踐Chromedev套件
- Google 要求 Chrome 擴充套件最小化資料收集GoChrome套件
- Chrome瀏覽器擴充套件程式的本地備份Chrome瀏覽器套件
- 微軟釋出Windows Defender擴充套件 為Chrome使用者提供上網安全微軟Windows套件Chrome
- 速看!2021 年 Google 最熱門 Chrome 擴充套件程式名單出爐!GoChrome套件
- Chrome 擴充套件的開發實戰Chrome套件
- Chrome 瀏覽器擴充套件 - Night EyeChrome瀏覽器套件
- Chrome 瀏覽器擴充套件 - Dark Web - Dark Theme for ChromeChrome瀏覽器套件Web
- 微軟釋出谷歌Chrome瀏覽器官方Win10時間線擴充套件微軟谷歌Chrome瀏覽器Win10套件
- VS Code 首個 Semantic Kernel 擴充套件釋出套件
- PHP 高效能 Excel 擴充套件 1.2.7 釋出PHPExcel套件
- 「擴充套件包」Laravel-filesystem-oss 2.0 釋出套件Laravel
- 八個改變遊戲規則的chrome外掛擴充套件遊戲Chrome套件
- chrome擴充套件應用開發快速科普Chrome套件
- 分享一些好用的 Chrome 擴充套件Chrome套件
- Chrome瀏覽器擴充套件程式可竊取明文密碼Chrome瀏覽器套件密碼
- 為效能而生,PHP Excel 擴充套件 xlswriter 1.3.3 釋出!PHPExcel套件
- mac下打包chrome擴充程式MacChrome
- kotlin 擴充套件(擴充套件函式和擴充套件屬性)Kotlin套件函式
- chrome擴充套件chrome.extension.getBackgroundPage()為undefined的問題原因Chrome套件Undefined
- 手把手教你做一個自己的chrome擴充套件程式Chrome套件
- [譯] 如何使用原生 JavaScript 構建簡單的 Chrome 擴充套件程式JavaScriptChrome套件
- chrome擴充套件推薦:此刻、今天、最近~一個關於時間管理的擴充套件 – MomentumChrome套件
- 那些離不開的 Chrome 擴充套件外掛Chrome套件
- 推薦3款超好用的Chrome擴充套件Chrome套件
- 前端開發10大Chrome外掛擴充套件前端Chrome套件
- Chrome 擴充套件程式包含惡意程式碼,竊取加密錢包私鑰Chrome套件加密
- 在 Visual Studio 市場中釋出專案擴充套件套件
- Visual Studio 的碼雲擴充套件 V1.0.85 釋出套件
- 正式釋出丨AKS上的Dapr、ML、Gitops擴充套件Git套件
- 釋出一個自己的composer擴充套件[實戰系列]套件
- 五個檢視擴充套件類 LL套件